Demandez une démo

SIG 2023 : Les nouveautés de la dernière mise à jour

Découvrez les principaux changements apportés au questionnaire standard de collecte d'informations (SIG), et apprenez comment les exploiter dans vos évaluations des risques par des tiers.
Par :
Thomas Humphreys
,
Prevalent Expert en conformité
29 novembre 2022
Partager :
Blog sig2023 1122

Le questionnaire standard de collecte d'informations est utilisé par les équipes de gestion des risques des tiers pour effectuer des évaluations standardisées des risques liés aux fournisseurs et aux vendeurs. Les questionnaires SIG peuvent être utilisés tels quels ou dans le cadre d'un programme plus large de gestion des risques des tiers (TPRM). Ce post examine les principales mises à jour de SIG 2023 et la façon dont elles peuvent être utilisées dans vos évaluations des risques liés aux fournisseurs.

Qu'est-ce que SIG ?

Le questionnaire standard de collecte d'informations (SIG) est une évaluation des risques réalisée par une tierce partie et conçue par Shared Assessments. SIG est disponible en plusieurs formats, y compris SIG Core, SIG Lite et des versions personnalisées. Les organisations utilisent les questionnaires SIG pour mesurer les risques liés aux tiers dans 19 domaines, et chaque question est associée à plusieurs exigences de conformité et de réglementation. SIG couvre un large éventail de domaines allant de la sécurité de l'information et de la cybersécurité à la confidentialité et à l'ESG.

Shared Assessments révise et met à jour les questionnaires SIG sur une base annuelle. Ces mises à jour comprennent généralement des ajouts et des modifications aux questions, domaines et catégories de sujets sur la base des normes opérationnelles actuelles, des changements sociétaux et des développements dans des industries et secteurs spécifiques.

Quels sont les domaines couverts par le SIG ?

La version actuelle du SIG évalue le risque à travers les 19 domaines de contrôle suivants, également appelés "domaines" :

  1. Contrôle d'accès
  2. Sécurité des applications
  3. Gestion des actifs et de l'information
  4. Services d'hébergement en nuage
  5. Gestion de la conformité
  6. Gestion des incidents de cybersécurité
  7. Sécurité des points d'extrémité
  8. Gestion du risque d'entreprise
  9. Environnemental, social et gouvernance (ESG)
  10. Sécurité des ressources humaines
  11. Assurance de l'information
  12. Gestion des opérations informatiques
  13. Sécurité des réseaux
  14. Gestion des tiers
  15. Résilience opérationnelle
  16. Sécurité physique et environnementale
  17. Gestion de la vie privée
  18. Sécurité du serveur
  19. Gestion des menaces

Les principaux ajouts de SIG 2023 comprennent le nouveau domaine ESG et le nouveau domaine Nth-Party Management. Par ailleurs, le domaine Politique de sécurité a été supprimé et son contenu a été déplacé vers les domaines Gestion des tiers et Assurance de l'information. Nous allons entrer dans les détails ci-dessous.

Principaux changements dans SIG pour 2023

Nouveau domaine ESG ajouté dans SIG 2023

Le changement le plus important dans SIG 2023 est l'ajout du domaine environnemental, social et de gouvernance (ESG). La conformité ESG a gagné en importance avec l'émergence de plusieurs nouvelles réglementations, telles que le projet de directive européenne sur la diligence raisonnable en matière de durabilité des entreprises et la loi allemande sur la diligence raisonnable en matière de chaîne d'approvisionnement. La mise à jour SIG Core 2023 intègre 131 questions relatives aux pratiques environnementales, sociales et de gouvernance.

Par rapport à SIG 2022, SIG 2023 approfondit des sujets spécifiques au sein d'ESG. Par exemple, SIG 2022 comprenait des questions de haut niveau comme "Avez-vous un programme ESG en place ?". SIG 2023, quant à lui, aborde plusieurs sujets ESG spécifiques dans les catégories suivantes :

Environnement

  • Politique environnementale
  • Gestion de l'environnement
  • Pollution de l'air
  • Gestion des déchets
  • Conformité réglementaire
  • Changement climatique
  • Gestion des ressources naturelles

Social

  • Droits de l'homme : Esclavage moderne, Salaire minimum
  • Sécurité des travailleurs et de la santé : Politique de l'OHSA
  • Implication dans la communauté
  • Sécurité des consommateurs : Conformité réglementaire (FDA)

Gouvernance

  • Structure du conseil d'administration : Suivi des performances
  • Éthique et code de conduite : Diversité et inclusion, approvisionnement éthique
  • Gestion de la chaîne d'approvisionnement : Évaluations des risques ESG, codes de conduite
  • Pratiques de gestion ESG : Registre des risques ESG, accords de niveau de service et objectifs.
  • Confidentialité et sécurité des données

Le nouveau domaine de gestion des tiers s'attaque au risque lié auxtiers.

La gestion des tierces parties est un autre nouveau domaine de SIG 2023. Ce sujet était auparavant couvert dans le cadre du domaine Gestion des risques de l'entreprise.

De nombreux facteurs relient les risques accrus liés aux données aux quatrièmes parties. Par exemple, les auteurs de menaces sont connus pour cibler les fournisseurs de technologies afin de lancer ensuite des attaques par ransomware contre les partenaires commerciaux des fournisseurs et leurs clients. Un bon exemple est la violation de Kaseya de l'année dernière, qui visait une plateforme populaire utilisée par les fournisseurs de services gérés pour fournir des services à leurs clients.

En outre, les entreprises étant de plus en plus connectées, les PII, PHI, la propriété intellectuelle et d'autres données sensibles peuvent se retrouver entre les mains de quatrièmes et de nièmes parties qui ne sont pas connues du propriétaire ou du responsable initial des données. Dans ce contexte, distinguer le risque de quatrième et de nième partie du domaine de la gestion des risques de l'entreprise est tout à fait logique. Les catégories du domaine de la gestion des Nième-Parties incluent :

  • Politiques, normes et procédures
  • Parrainage exécutif
  • Contrats et accords
  • Inventaire et actifs
  • Surveillance du conseil d'administration et des comités
  • Gestion des incidents et des violations
  • Diligence raisonnable
  • Évaluations des risques
  • Antécédents et filtrage
  • Notifications et gestion des problèmes

SIG 2023 : Quelles sont les nouveautés et quel sera leur impact sur votre programme TPRM ?

Rejoignez Thomas Humphreys, expert en conformité, qui passe en revue le questionnaire SIG 2023 et explique comment exploiter les correspondances disponibles avec les normes et réglementations telles que NIST, ISO, FFIEC, NERC, etc.

Nouvelles catégories dans SIG 2023

Un autre changement majeur pour SIG 2023 est l'ajout de plusieurs nouvelles catégories. Les SIG divisent chaque domaine en plusieurs catégories afin d'approfondir et de cibler des groupes de contrôles disparates. Grâce à ces nouvelles catégories, SIG 2023 approfondit des sujets spécifiques et permet aux entreprises de se concentrer sur les types de risques qui les préoccupent le plus. Par exemple, plutôt que de réutiliser la catégorie "Gestion des incidents" de SIG 2022, les catégories ont été affinées en "Traitement des incidents" et "Enseignements tirés du traitement des incidents".

Accent accru sur la gestion et la gouvernance

Les mises à jour de SIG 2023 mettent davantage l'accent sur la gestion et la gouvernance de la sécurité de l'information que sur des catégories spécifiques de contrôle de la confidentialité, de la sécurité et de la conformité. À un niveau superficiel, considérez certains des changements et mises à jour des noms de domaine :

  • La politique de sécurité* a été remplacée par la gestion des tiers.
  • La sécurité organisationnelle a été remplacée par l'assurance de l'information
  • Compliance & Operational Risk a été remplacé par Compliance Management
  • La protection de la vie privée a été remplacée par la gestion de la vie privée

*La plupart des questions relevant du domaine de la politique de sécurité ont été déplacées vers la gestion des tiers ou la sécurité de l'information.

Un autre exemple évident de cette évolution est la création du nouveau domaine ESG, qui reflète la corrélation croissante entre les politiques commerciales générales d'une organisation et son exposition au risque. Il est également important de noter que la mise à jour SIG 2023 comprend de nouvelles questions liées aux politiques de gouvernance de gestion dans chacun des 19 domaines. Ces mises à jour tentent de dépasser le simple fait de déterminer si un fournisseur a mis en place des contrôles spécifiques en incluant des questions plus larges, telles que la manière dont les fournisseurs suivent et gèrent la nouvelle législation.

Prochaines étapes pour la réalisation des évaluations SIG

Qu'il s'agisse de l'évolution des risques de cybersécurité, des bouleversements géopolitiques, des perturbations de la chaîne d'approvisionnement ou de la surveillance accrue des facteurs ESG, vos tiers opèrent dans un environnement de risque en constante évolution qui peut avoir des implications réelles pour votre entreprise. C'est pourquoi le questionnaire standard de collecte d'informations est un outil essentiel pour de nombreux programmes de gestion des risques liés aux tiers.

Prevalent propose les questionnaires SIG Core et SIG Lite dans le cadre de sa plateforme de gestion des risques pour les tiers, ainsi que plus de 750 autres modèles d'évaluation basés sur des normes. Nos clients automatisent et accélèrent leurs évaluations de tierces parties, combinent les résultats des évaluations et les informations de surveillance continue, et obtiennent des conseils prescriptifs pour remédier efficacement aux risques. Demandez une démonstration pour découvrir comment Prevalent peut alimenter votre programme TPRM.

Tags :
Partager :
Thomas humphreys
Thomas Humphreys
Prevalent Expert en conformité
Postes connexes
  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo